Ingeniería social.
A la hora de poner una contraseña, los usuarios no suelen utilizar combinaciones aleatorias de caracteres. En cambio, recurren a palabras conocidas para ellos: el mes de su cumpleaños, el nombre de su calle, su mascota, su futbolista favorito, etc. Si conocemos bien a esa persona, podemos intentar adivinar su contraseña. También constituye ingeniería social pedir por favor a un compañero de trabajo que introduzca su usuario y contraseña, que el nuestro parece que no funciona. En esa sesión podemos aprovechar para introducir un troyano, por ejemplo.
Phishing.
El
atacante se pone en contacto con la víctima (generalmente, un correo
electrónico) haciéndose pasar por una empresa con la que tenga alguna relación
(su banco, su empresa de telefonía, etc.). En el contenido del mensaje intenta
convencerle para que pulse un enlace que le llevará a una (falsa) web de la
empresa. En esa web le solicitarán su identificación habitual y desde ese
momento el atacante podrá utilizarla.
Keyloggers.
Un
troyano en nuestra máquina puede tomar nota de todas las teclas que pulsamos,
buscando el momento en que introducimos un usuario y contraseña. Si lo
consigue, los envía al atacante.
Fuerza
bruta.
Las
contraseñas son un número limitado de caracteres (letras, números y signos de
puntuación). Una aplicación malware puede ir generando todas las combinaciones
posibles y probarlas una a una; tarde o temprano, acertará. Incluso puede
ahorrar tiempo si utiliza un diccionario de palabras comunes y aplica
combinaciones de esas palabras con números y signos de puntuación. Contra los
ataques de fuerza bruta hay varias medidas:
Utilizar
contraseñas no triviales. No utilizar nada personal e insertar en medio de la
palabra o al final un número o un signo de puntuación. En algunos sistemas nos
avisan de la fortaleza de la contraseña elegida
Cambiar
la contraseña con frecuencia (un mes, una semana). Dependiendo del hardware utilizado, los
ataques pueden tardar bastante; si antes hemos cambiado la clave, se lo ponemos
difícil.
Impedir
ráfagas de intentos repetidos. Nuestro software de autenticación que solicita
usuario y contraseña fácilmente puede detectar varios intentos consecutivos en
muy poco tiempo. No puede ser un humano: debemos responder introduciendo una
espera. En windows se hace: tras cuatro intentos fallidos, el sistema deja
pasar varios minutos antes de dejarnos repetir. Esta demora alarga muchísimo el
tiempo necesario para completar el ataque de fuerza bruta.
Establecer
un máximo de fallos y después bloquear el acceso. Es el caso de las tarjetas
sim que llevan los móviles gsm/umts: al tercer intento fallido de introducir el
pin para desbloquear la sim, ya no permite ninguno más. Como el pin es un
número de cuatro cifras, la probabilidad de acertar un número entre 10 000 en
tres intentos es muy baja.
Spoofing: Alteramos algún elemento de la máquina para hacernos pasar por otra máquina.
Por ejemplo, generamos mensajes con la misma dirección que la máquina
auténtica.
Sniffing: El atacante consigue conectarse en el mismo tramo de red que el equipo atacado.
De esta manera tiene acceso directo a todas sus conversaciones.
DoS
(Denial of Service, denegación de servicio): Consiste en tumbar un servidor
saturándolo con falsas peticiones de conexión. Es decir, intenta simular el
efecto de una carga de trabajo varias veces superior a la normal.
DDoS
(Distributed Denial of Service, denegación de servicio distribuida): Es el
mismo ataque DoS, pero ahora no es una única máquina la que genera las
peticiones falsas (que es fácilmente localizable y permite actuar contra ella),
sino muchas máquinas repartidas por distintos puntos del planeta. Esto es
posible porque todas esas máquinas han sido infectadas por un troyano que las
ha convertido en ordenadores zombis (obedecen las órdenes del atacante).
Vulnerabilidad por malware.
Una vulnerabilidad es un defecto de una aplicación que puede ser aprovechado
por un atacante. Si lo descubre, el atacante programará un software (llamado
malware) que utiliza esa vulnerabilidad para tomar el control de la máquina
(exploit) o realizar cualquier operación no autorizada.
Hay muchos tipos de malware:
- Virus. Intentan dejar inservible el ordenador infectado. Pueden actuar aleatoriamente o esperar una fecha concreta.
- Gusanos. Van acaparando todos los recursos del ordenador: disco, memoria, red. El usuario nota que el sistema va cada vez más lento, hasta que no hay forma de trabajar.
- Troyanos. Suelen habilitar puertas traseras en los equipos: desde otro ordenador podemos conectar con el troyano para ejecutar programas en el ordenador infectado.
